Alertas de log y gestión de incidentes en la nube
Home » Alertas de log y gestión de incidentes en la nube

Alertas de log y gestión de incidentes en la nube con Log360 Cloud

La importancia de las alertas de seguridad

Con demasiada frecuencia, las organizaciones se dan cuenta de la brecha de seguridad semanas o meses después del ataque; la razón principal de que este "tiempo de permanencia de la brecha" sea tan elevado es la falta de medidas de monitoreo de seguridad efectivas. Tras los incidentes de seguridad, las alertas pueden significar la diferencia entre una red segura y una vulnerada. Es vital que los equipos de seguridad monitoreen los logs y establezcan alertas, que actúan como indicadores en su red. Cuando un atacante se desplaza por la red, inevitablemente activará una alarma, notificando al equipo de seguridad sobre la amenaza.

Ejemplos de alertas de seguridad

Considere los siguientes escenarios:

  • Se instala un nuevo software o servicio en un servidor crítico
  • Un host se reinicia inesperadamente
  • Se modifica una política de firewall
  • Una aplicación se bloquea
  • Se altera una política importante, como la de registro

Estos eventos se conocen como indicadores de compromiso (IoC), y se deben marcar e investigar para detectar una amenaza a la seguridad antes de que sea demasiado tarde. Puede maximizar la posibilidad de detectar las amenazas a la seguridad configurando alertas para varios IoC en su red.

Gestión del incidente

Una vez que se ha producido una alerta, se debe resolver rápidamente para reducir el tiempo que tiene el atacante para llevar a cabo un ataque. Una investigación y respuesta rápidas pueden frenar un ataque en una fase temprana. Los equipos de seguridad deben asegurarse de que cuentan con un proceso fiable para atender cada una de las alertas emitidas por su herramienta de monitoreo. Esto implica definir reglas para que las alertas se asignen automáticamente a los administradores apropiados, con el fin de reducir el tiempo de respuesta al incidente. Por ejemplo, una alerta emitida en el servidor SQL se debe enviar automáticamente al administrador de SQL, en lugar de llamar al administrador mucho más tarde para informarle del incidente.

El módulo de alerta de Log360 Cloud

Log360 Cloud es una solución de gestión de logs basada en la nube que puede monitorear y proteger su red. Log360 Cloud permite activar y gestionar alertas de eventos de seguridad determinados para detectar ataques en una fase temprana. La solución tiene tres categorías de perfiles de alerta:

  • Alertas predefinidas: Log360 Cloud permite elegir entre una serie de perfiles de alerta predefinidos que abordan casos de uso de seguridad comunes. Esto permite a los equipos de seguridad configurar alertas fácilmente justo después de implementar la solución.
  • Alertas de cumplimiento: La solución incluye perfiles de alertas de cumplimiento out-of-the-box que le ayudan a cumplir con regulaciones tales como PCI DSS, HIPAA, SOX, entre otros.
  • Alertas personalizadas: También tiene la opción de definir sus propios criterios de alerta según sus necesidades, definiendo condiciones y combinándolas con operadores lógicos.

Gestión de incidentes centralizada con Log360 Cloud

La interfaz de Log360 Cloud permite gestionar todas las alertas desde la consola; estas alertas se pueden asignar a los administradores de forma manual o automática usando reglas de asignación. El estado de una alerta se puede actualizar de abierto a en curso a cerrado para dar seguimiento a su resolución.

Además, Log360 Cloud se puede integrar con herramientas de mesa de ayuda como ManageEngine ServiceDesk Plus, ServiceNow, Zendesk y Kayako. De este modo, las alertas se pueden emitir como tickets en la herramienta central de mesa de ayuda para agilizar el proceso de gestión de incidentes.

Una solución integral para todos los servicios de gestión de logs y auditoría de Active Directory
Productos relacionados